Esercitazione: Configurare Concur per il provisioning utenti automatico

Questa esercitazione descrive i passaggi da eseguire in Concur e Microsoft Entra ID per effettuare automaticamente il provisioning e il deprovisioning degli account utente da Microsoft Entra ID a Concur.

Avviso

Questa integrazione del provisioning non è più supportata. Di conseguenza, la funzionalità di provisioning dell'applicazione SAP Concur in Microsoft Entra Enterprise App Gallery verrà rimossa a breve. La funzionalità SSO dell'applicazione rimarrà intatta. Microsoft sta lavorando con SAP Concur per creare una nuova integrazione del provisioning modernizzato, ma al termine di questa operazione non è attualmente disponibile alcuna ETA.

Prerequisiti

Per lo scenario descritto in questa esercitazione si presuppone che l'utente disponga di quanto segue:

• Un tenant di Microsoft Entra.
• Sottoscrizione di Concur abilitata per l'accesso Single Sign-On.
• Account utente in Concur con autorizzazioni di amministratore di team.

Assegnazione di utenti a Concur

Microsoft Entra ID usa un concetto denominato "assegnazioni" per determinare quali utenti devono ricevere l'accesso alle app selezionate. Nel contesto del provisioning automatico degli account utente, vengono sincronizzati solo gli utenti e i gruppi che sono stati "assegnati" a un'applicazione in Microsoft Entra ID.

Prima di configurare e abilitare il servizio di provisioning, è necessario decidere quali utenti e/o gruppi in Microsoft Entra ID rappresentano gli utenti che devono accedere all'app Concur. Dopo aver stabilito questo, è possibile assegnare tali utenti all'app Concur seguendo le istruzioni riportate qui:

Assegnare un utente o gruppo a un'app aziendale

Suggerimenti importanti per l'assegnazione di utenti a Concur

• È consigliabile assegnare un singolo utente di Microsoft Entra a Concur per testare la configurazione del provisioning. È possibile assegnare utenti e/o gruppi aggiuntivi in un secondo momento.

• Quando si assegna un utente a Concur, è necessario selezionare un ruolo utente valido. Il ruolo "Default Access" (Accesso predefinito) non è applicabile per il provisioning.

Abilitare il provisioning utenti

Questa sezione illustra come connettere l'ID Microsoft Entra all'API di provisioning dell'account utente di Concur e configurare il servizio di provisioning per creare, aggiornare e disabilitare gli account utente assegnati in Concur in base all'assegnazione di utenti e gruppi in Microsoft Entra ID.

Suggerimento

È anche possibile scegliere di abilitare l'accesso Single Sign-On basato su SAML per Concur, seguendo le istruzioni fornite nella portale di Azure. L'accesso Single Sign-On può essere configurato indipendentemente dal provisioning automatico, nonostante queste due funzionalità siano complementari.

Per configurare il provisioning degli account utente:

Questa sezione descrive come abilitare il provisioning utente degli account utente di Active Directory in Concur.

Per abilitare le app nel servizio Expense, è necessario configurare e usare in modo corretto un profilo di amministratore di servizi Web. Non aggiungere il ruolo di amministratore dei servizi Web al profilo amministratore esistente usato per le funzioni amministrative di T&E.

I consulenti Concur o l'amministratore client devono creare un diverso profilo di amministratore dei servizi Web e l'amministratore client deve usare tale profilo per le funzioni di amministratore dei servizi Web, ad esempio per abilitare le app. Questi profili devono essere mantenuti separati dal profilo di amministratore T&E giornaliero dell'amministratore del client. Questo significa che al profilo di amministratore T&E non deve essere assegnato il ruolo di amministratore dei servizi Web.

Quando si crea il profilo da usare per abilitare l'app, immettere il nome dell'amministratore client nei campi del profilo utente per assegnare la proprietà al profilo. Ciò consente di assegnare la proprietà al profilo. Dopo la creazione di uno o più profili, il client dovrà accedere con questo profilo per poter fare clic sul pulsante "Abilita" relativo a un'app dei partner nel menu Servizi web.

Per i seguenti motivi è consigliabile non eseguire questa operazione con il profilo usato per la normale amministrazione T&E.

• Il client deve essere quello che fa clic su "Sì" nella finestra di dialogo visualizzata dopo l'abilitazione di un'app. Tale operazione conferma che il client consente all'applicazione del partner di accedere ai dati, di conseguenza non può essere l'utente o il partner a fare clic sul pulsante Yes.

• Se un amministratore client che ha abilitato un'app con il profilo di amministratore T&E lascia la società e il relativo profilo viene disattivato, tutte le app abilitate tramite tale profilo non funzioneranno finché l'app non viene abilitata con un altro profilo di amministratore di servizi Web attivo. È per questo motivo che è richiesta la creazione di profili distinti per l'amministratore di servizi Web.

• Se un amministratore lascia la società, se necessario è possibile modificare il nome associato al profilo dell'amministratore di servizi Web impostandolo su quello di sostituzione senza alcun impatto sull'app abilitata perché non è necessario disattivare tale profilo.

Per configurare il provisioning utenti, seguire questa procedura:

1. Accedere al tenant di Concur.

2. Nel menu Administration (Amministrazione) selezionare Web Services (Servizi Web).

   

3. Sul lato sinistro nel riquadro Web Services (Servizi Web) selezionare Enable Partner Application (Abilita applicazione partner).

   

4. Nell'elenco Abilita applicazione selezionare Microsoft Entra ID e quindi fare clic su Abilita.

   

5. Fare clic su Yes (Sì) per chiudere la finestra di dialogo Confirm Action (Conferma operazione).

   

6. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione cloud Amministrazione istrator.

7. Passare a Applicazioni di identità>Applicazioni>aziendali.

8. Se si è già configurato Concur per l'accesso Single Sign-On, cercare l'istanza di Concur usando il campo di ricerca. In caso contrario, selezionare Aggiungi e cercare Concur nella raccolta di applicazioni. Selezionare Concur nei risultati della ricerca e aggiungerlo all'elenco delle applicazioni.

9. Selezionare l'istanza di Concur e quindi la scheda Provisioning.

10. Impostare Modalità di provisioning su Automatico.

    

11. Nella sezione Credenziali amministratore immettere il nome utente e la password dell'amministratore di Concur.

12. Selezionare Test Connessione ion per assicurarsi che Microsoft Entra ID possa connettersi all'app Concur. Se la connessione non riesce, verificare che l'account Concur disponga di autorizzazioni di amministratore di team.

13. Immettere l'indirizzo e-mail di una persona o un gruppo che riceverà le notifiche di errore relative al provisioning nel campo Messaggio di posta elettronica di notifica e selezionare la casella di controllo.

14. Fare clic su Salva.

15. Nella sezione Mapping selezionare Synchronize Microsoft Entra users to Concur (Sincronizza utenti di Microsoft Entra in Concur).

16. Nella sezione Mapping attributi esaminare gli attributi utente sincronizzati da Microsoft Entra ID a Concur. Gli attributi selezionati come proprietà corrispondenti vengono usati per trovare le corrispondenze con gli account utente in Concur per le operazioni di aggiornamento. Selezionare il pulsante Salva per eseguire il commit delle modifiche.

17. Per abilitare il servizio di provisioning Microsoft Entra per Concur, impostare Stato del provisioning su Sì nella sezione Impostazioni

18. Fare clic su Salva.

È ora possibile creare un account di test. Attendere 20 minuti per verificare che l'account sia stato sincronizzato con Concur.

Risorse aggiuntive

• Gestione del provisioning degli account utente per app aziendali
• Che cos'è l'accesso alle applicazioni e l'accesso Single Sign-On con Microsoft Entra ID?
• Configurare l'accesso Single Sign-On